Schadensersatzanspruch für Mitarbeiter bei DSGVO-Verstößen

Schadensersatzanspruch für Mitarbeiter bei DSGVO-Verstößen

Deutsche Gerichte haben in den vergangenen Monaten betroffenen Mitarbeitern immaterielle Schadenersatzansprüche wegen Datenschutzverstößen zugesprochen.

Immaterieller Schadenersatz für betroffene Personen

Das Arbeitsgericht Düsseldorf hat im März 2020 ein Unternehmen dazu verurteilt, einem ehemaligen Mitarbeiter 5.000 Euro Schadensersatz zu zahlen (Urteil vom 5. März 2020 – 9 Ca 6557/18). Nach den Feststellungen des Arbeitsgerichts hatte das Unternehmen nicht fristgemäß und vollständig auf einen Auskunftsantrag nach Art. 15 DSGVO geantwortet.

Das Landgericht Darmstadt hat im Mai 2020 einem Kläger 1.000 Euro an immateriellen Schadenersatz zugesprochen (Urteil vom 26. Mai 2020 – 13 O 244/19). Der Kläger hatte sich um eine Arbeitsstelle bei dem beklagten Unternehmen beworben. Dieses hatte irrtümlich eine E-Mail nicht an den Kläger, sondern an einen Dritten versandt. Diese E-Mail enthielt unter anderem die Gehaltsvorstellungen des Klägers. Der Arbeitgeber informierte den Kläger zunächst nicht über diesen Vorfall. Das Landgericht ging davon aus, dass der Arbeitgeber damit gegen die in Art. 6 DSGVO und Art. 34 DSGVO geregelten Vorgaben verstoßen habe. Der Kläger habe die Kontrolle über seine personenbezogene Daten verloren.

Beide Urteile sind noch nicht rechtskräftig.

Haftung und Recht auf Schadenersatz

Der Anspruch auf immateriellen Schadenersatz ist in Art 82 DSGVO geregelt:

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Laut Erwägungsgrund 146 sollen “betroffenen Personen einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten.” Sind Verantwortliche oder Auftragsverarbeiter an derselben Verarbeitung beteiligt, können beide für den gesamten Schaden haftbar gemacht werden. Nach Leistung des vollen Schadenersatzes, kann ein Rückgriffsverfahren gegen andere an derselben Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter angestrengt werden.

Verantwortlicher oder Auftragsverarbeiter sind von einer Haftung befreit, wenn nachgewiesen werden kann, dass er in keiner Weise für den Schaden verantwortlich ist.

Österreichische Post muss Kläger keinen Schadenersatz zahlen

Im August 2019 hat das Landesgericht Feldkirch die Post dazu verdonnert, einem Kläger 800 Euro zu zahlen, weil sie seine Parteiaffinitäten errechnet und gespeichert hatte. Der Kläger hatte deswegen einen immateriellen Schaden geltend gemacht. Das Oberlandesgericht Innsbruck kassierte im Februar 2020 das Urteil und entschied, dass die Post nichts zahlen muss.

Denn Schäden werden laut Datenschutzgesetz nur ersetzt, wenn sie tatsächlich und nachweislich eingetreten sind, heißt es im Urteil des OLG Innsbruck (1R182/19b). Der Kläger habe die “Behauptungs- und Beweislast für das Vorliegen eines Schadens” und müsse auch Nachweisen, dass der Schaden durch die Verletzung der Datenschutzrichtlinie begründet ist (Kausalität).

Aktuell liegen dem Autor keine Informationen vor, ob dieses Urteil bereits rechtskräftig ist.

Anmerkungen

  • Die oben genannten Entscheidungen deutscher Gerichte sind noch nicht rechtskräftig. Es bleibt also abzuwarten, wie die übergeordneten Instanzen in Deutschland entscheiden werden.
  • Anzumerken ist auch, dass Gerichte zu Fragen des immateriellen Schadenersatzes bei DSGVO-Verstößen auch schon anders entschieden haben. Den genannten Entscheidungen ist zu entnehmen, dass “der bloße Verlust der Kontrolle über personenbezogene Daten für sich betrachtet keinen immateriellen Schadensersatzanspruch begründen würde. Erforderlich ist vielmehr eine tatsächliche und spürbare Beeinträchtigung.” Danach stellen bloße Unannehmlichkeiten oder unerhebliche Beeinträchtigungen gerade keinen immateriellen Schaden dar.
  • Trotz der widersprüchlichen Urteile sind Verantwortliche und Auftrasgverarbeiter gut beraten, sich effektiv auf mögliche Schadensersatzprozesse wegen Datenschutzverletzungen vorzubereiten. In diesem Zusammenhang spielt die Erfüllung der Nachweispflichten, zB durch eine möglichst lückenlose Dokumentation von datenschutzrechtlichen Maßnahmen, eine bedeutende Rolle.
  • Für die Zukunft ist nicht von der Hand zu weisen, dass durch einen weiteren Anstieg von erfolgreichen immateriellen Schadensersatzansprüchen, auch die Zahl der Schadensersatzklagen zunehmen wird.